Ce serait bien d'avoir une feature dans linuxfr "sauvegarder cet article", un peu comme dans reddit, c'est le genre de post que je voudrais retrouver facilement.
Sauf erreur de ma part, Docker se base sur LXC qui utilise les cgroup.
Extrait de l'introduction sur les cgroups de wikipedia (en):
"cgroups (abbreviated from control groups) is a Linux kernel feature to limit, account, and isolate resource usage (CPU, memory, disk I/O, etc.) of process groups."
En clair, on peut faire de la répartition et de la limitation de l'usage des ressources (réseaux, disques, CPU, mémoire, accès disque, etc…) en cgroup. A part si docker n'expose pas facilement la possibilité de gérer finement les cgroups je vois pas le problème.
A noter que ce paramétrage est dispo sur les autres solutions de container (j'avais beaucoup bidouillé avec vserver à ce propos y'a un paquet d'années).
Quel est l'avantage de Boot2Docker vis-à-vis de CoreOS. Ce dernier est super pour faire du déploiement massive épaulé par une configuration délivrée par etcd. J'ai l'impression que Boot2Docker est surtout pratique pour une petite installation sur une seule machine, correct ?
Dans le cadre d'un projet étudiant, on avait monté un audit sur une application web posée sur une machine virtuelle chez amazon. La grande différence, c'est que ceux-ci ont un formulaire (je n'arrive pas à retrouver le lien) pour déclarer l'audit, les dates, les personnes / ip qui feront ce travail, etc.
Certes ce n'est pas vraiment le même contexte (scan automatisé régulier VS audit ponctuel et humain) mais il n'existe pas un équivalent chez OVH ?
J'approuve sans réserve ces bonnes paroles (et j'avais en tête ces éléments), mais l'aspect humain des personnes devant autoriser ce projet est le + gros problème: il va falloir convaincre… C'est pour cette raison que la charte RENATER est une très bonne piste, mais aussi de définir les contours des aspects légaux derrière hébergeur et prestataire.
Oui mais après cette charte il y a encore l'administration locale, les problèmes techniques de connexion, la définition du cadre légal de responsabilité (la fac veut avoir des garanties sur le fait qu'elle ne risque rien au niveau juridique), sans compter la garantie que je devrais apporter sur le bon déroulement des opérations…
Pour moi la charte c'est un point de départ de discussion, après il reste le vrai travail pour monter une telle idée.
Pour deux raisons l'accès complet est une meilleure idée:
- si la fac commence à filtrer, elle peut être considéré comme hébergeur
- être le vrai Internet permet de développer aussi des compétences dans les honeypots, la pratique des IDS/IPS, etc…
J'admets avoir ressenti ça comme étudiant. Se taper la théorie du signal, les calculs de checksums ou passer des heures sur l'automate TCP n'est pas l'expérience la plus intéressante de mes études. Personnellement, j'en ai tiré comme leçon qu'il faut avoir beaucoup de pratique (TP) et éviter de passer des heures sur du montage de réseau pour se consacrer à des maquettes qui amènent directement des problématiques pour des situations un peu complexe, comme par exemple monter une architecture de sécurité avec plusieurs sous-réseaux et de l'isolation / filtrage (netkit est une merveille pour ça).
Plus généralement la sécurité est un excellent vecteur éducatif: montrer les limitation d'un réseau local, déborder sur la nécessité de cryptographie ou du renforcement système, forger ses paquets pour tester des situations particulières (avec Scapy par exemple). Puis la sécurité il y a ce côté grisant que les étudiants adorent…
Je sais mais je parle de vrai installation que l'on peut maintenir et faire évoluer afin de voir le problème des architectures de sécurité, le déploiement d'outils comme des IDS/IPS, la mise en place de honeypot sur une adresse publique, etc. Cela ne s'apprend pas dans un ou plusieurs TP mais par l'expérience acquise au fur et à mesure…
Asso et local ça devrait se faire. Par contre la connexion ADSL autonome risque d'être rejetée car sur le local est sur le site universitaire (sans compter le fait que le téléphone déployé c'est de la VoIP Cisco). De plus l'idéal serait d'avoir accès au connection RENATER de l'université, mais sans entraîner d'ennuis techniques ou potentiellement légaux pour les personnes en charge du réseau.
Pas exactement ce que je recherche. Il existe beaucoup de solution pour les travaux pratiques (netkit, marionnet, packet tracer, …). Je suis plus à rechercher une installation pereine avec de machines (physiques) qu'ils controlleraient au fur et à mesure de l'année.
J'attends avec une certaines impatience les prochaines versions, particulièrement celles avec des nombres impairs pour savoir si un nom leur ait attribué voire s'il existe réellement un mot pour les définir.
Cédric était intervenu quelques années de suite dans le Master 2 CRYPTIS de l'université de Limoges. Je débarquais alors comme jeune maître de conférences avec comme bagage en sécurité informatique de savoir au mieux configurer un iptables et de croire que ça pouvait protéger le monde entier.
Pédagogue, je regarde encore ses slides simples sur lequel il pouvait discuter des heures. Je me souviens aussi des démos faites aux étudiants, particulièrement d'une où à partir d'un wifi mal sécurisé il avait rebooté quelques serveurs CITRIX mal protégé devant les yeux ébahis des étudiants.
Une crème en tant que personne, patient et prenant son temps pour expliquer si tu n'avais pas compris.
Après 8 ans à Limoges et bien d'autres intervenants de qualité de son équipe et d'autres, j'essaye aujourd'hui de transmettre cette passion à pas mal d'étudiants, du plaisir de bidouiller un système et d'étudier la sécurité de façon ludique et réaliste. je lui dois un peu de cette motivation et de son expérience. Je ne crois pas cacher que cela doit être aussi le cas de quelques ex-étudiants du Master.
Je n'ai pas pu essayer security onion qui demande une machine 64 bits mais ton application semble assez proche dans l'idée, peux tu positionner ton projet vis-à-vis de Security Onion ?
Je suis intéressé par ce type de produit (c'est à dire interface web pour bug tracking, wiki et gestion du subversion/cvs/mercurial/etc...). Je connais Trac mais je le trouve un peu limité (mono-projet). InDefero a l'air d'être un bon produit, mais y'en a t'ils d'autres (je n'ai pas trouvé grand chose...) ?
J'ai oublié de préciser que le parc de machines est principalement desktop (les utilitaires prévus pour faire de l'installation distribuée sur des grilles ne sont pas intéressantes dans ce cas).
[^] # Re: Organisation
Posté par Julien CARTIGNY (site web personnel) . En réponse au journal SécurityDay à Lille seconde édition. Évalué à 1.
On est en train de négocier des vidéos avec lille1tv, stay tuned.
# Organisation
Posté par Julien CARTIGNY (site web personnel) . En réponse au journal SécurityDay à Lille seconde édition. Évalué à 3.
Voici le détail exact de la journée:
# feature linuxfr
Posté par Julien CARTIGNY (site web personnel) . En réponse à la dépêche Améliorer la disponibilité de ses services. Évalué à 4.
Ce serait bien d'avoir une feature dans linuxfr "sauvegarder cet article", un peu comme dans reddit, c'est le genre de post que je voudrais retrouver facilement.
[^] # Re: Isolation IO
Posté par Julien CARTIGNY (site web personnel) . En réponse à la dépêche La folie Docker. Évalué à 2.
Sauf erreur de ma part, Docker se base sur LXC qui utilise les cgroup.
Extrait de l'introduction sur les cgroups de wikipedia (en):
En clair, on peut faire de la répartition et de la limitation de l'usage des ressources (réseaux, disques, CPU, mémoire, accès disque, etc…) en cgroup. A part si docker n'expose pas facilement la possibilité de gérer finement les cgroups je vois pas le problème.
A noter que ce paramétrage est dispo sur les autres solutions de container (j'avais beaucoup bidouillé avec vserver à ce propos y'a un paquet d'années).
[^] # Re: Et project atomic ?
Posté par Julien CARTIGNY (site web personnel) . En réponse à la dépêche Logiciels pour survivre avec Docker. Évalué à 3.
Ouah, les reproches que je faisais sur Docker sont tous bien pris en compte dans ce project atomic. J'attends de voir mais ça me donne envie.
[^] # Re: Supervisor
Posté par Julien CARTIGNY (site web personnel) . En réponse à la dépêche Logiciels pour survivre avec Docker. Évalué à 3.
Avec l'URL qui va bien pour savoir ce que fait supervisor:
http://docs.docker.io/examples/using_supervisord/
# CoreOs VS Boot2Docker
Posté par Julien CARTIGNY (site web personnel) . En réponse à la dépêche Logiciels pour survivre avec Docker. Évalué à 4.
Quel est l'avantage de Boot2Docker vis-à-vis de CoreOS. Ce dernier est super pour faire du déploiement massive épaulé par une configuration délivrée par etcd. J'ai l'impression que Boot2Docker est surtout pratique pour une petite installation sur une seule machine, correct ?
[^] # Re: Hop
Posté par Julien CARTIGNY (site web personnel) . En réponse au journal Recommandation de packages debian pour netkit, un outil d'apprentissage des réseaux. Évalué à 0.
c'est noté. Merci.
[^] # Re: Lien mort
Posté par Julien CARTIGNY (site web personnel) . En réponse au journal Recommandation de packages debian pour netkit, un outil d'apprentissage des réseaux. Évalué à 1.
En effet, une rectification mineure dans le nom de la page a changé l'URL.
La bonne URL est:
http://www.lifl.fr/~iguchi-c/posts/2014/Mar/31/second-candidate-release-of-netkit-ng-version-01/
[^] # Re: Hop
Posté par Julien CARTIGNY (site web personnel) . En réponse au journal Recommandation de packages debian pour netkit, un outil d'apprentissage des réseaux. Évalué à 1.
Merci.
# Audit chez Amazon
Posté par Julien CARTIGNY (site web personnel) . En réponse au journal Nessus depuis un VPS chez OVH, pas possible ?. Évalué à 1.
Dans le cadre d'un projet étudiant, on avait monté un audit sur une application web posée sur une machine virtuelle chez amazon. La grande différence, c'est que ceux-ci ont un formulaire (je n'arrive pas à retrouver le lien) pour déclarer l'audit, les dates, les personnes / ip qui feront ce travail, etc.
Certes ce n'est pas vraiment le même contexte (scan automatisé régulier VS audit ponctuel et humain) mais il n'existe pas un équivalent chez OVH ?
[^] # Re: Une asso, un local, une connexion ADSL autonome
Posté par Julien CARTIGNY (site web personnel) . En réponse au journal Développer un laboratoire de système et réseaux géré par les étudiants. Évalué à 0.
J'approuve sans réserve ces bonnes paroles (et j'avais en tête ces éléments), mais l'aspect humain des personnes devant autoriser ce projet est le + gros problème: il va falloir convaincre… C'est pour cette raison que la charte RENATER est une très bonne piste, mais aussi de définir les contours des aspects légaux derrière hébergeur et prestataire.
[^] # Re: Une asso, un local, une connexion ADSL autonome
Posté par Julien CARTIGNY (site web personnel) . En réponse au journal Développer un laboratoire de système et réseaux géré par les étudiants. Évalué à 0.
Oui mais après cette charte il y a encore l'administration locale, les problèmes techniques de connexion, la définition du cadre légal de responsabilité (la fac veut avoir des garanties sur le fait qu'elle ne risque rien au niveau juridique), sans compter la garantie que je devrais apporter sur le bon déroulement des opérations…
Pour moi la charte c'est un point de départ de discussion, après il reste le vrai travail pour monter une telle idée.
Bienvenue dans la vie.com !
[^] # Re: Pourquoi forcément un accès internet complet ?
Posté par Julien CARTIGNY (site web personnel) . En réponse au journal Développer un laboratoire de système et réseaux géré par les étudiants. Évalué à 1.
Pour deux raisons l'accès complet est une meilleure idée:
- si la fac commence à filtrer, elle peut être considéré comme hébergeur
- être le vrai Internet permet de développer aussi des compétences dans les honeypots, la pratique des IDS/IPS, etc…
[^] # Re: Une asso, un local, une connexion ADSL autonome
Posté par Julien CARTIGNY (site web personnel) . En réponse au journal Développer un laboratoire de système et réseaux géré par les étudiants. Évalué à 1.
Et ?
[^] # Re: Marionnet
Posté par Julien CARTIGNY (site web personnel) . En réponse au journal Développer un laboratoire de système et réseaux géré par les étudiants. Évalué à 1.
J'admets avoir ressenti ça comme étudiant. Se taper la théorie du signal, les calculs de checksums ou passer des heures sur l'automate TCP n'est pas l'expérience la plus intéressante de mes études. Personnellement, j'en ai tiré comme leçon qu'il faut avoir beaucoup de pratique (TP) et éviter de passer des heures sur du montage de réseau pour se consacrer à des maquettes qui amènent directement des problématiques pour des situations un peu complexe, comme par exemple monter une architecture de sécurité avec plusieurs sous-réseaux et de l'isolation / filtrage (netkit est une merveille pour ça).
Plus généralement la sécurité est un excellent vecteur éducatif: montrer les limitation d'un réseau local, déborder sur la nécessité de cryptographie ou du renforcement système, forger ses paquets pour tester des situations particulières (avec Scapy par exemple). Puis la sécurité il y a ce côté grisant que les étudiants adorent…
[^] # Re: Ça existe à peu près
Posté par Julien CARTIGNY (site web personnel) . En réponse au journal Développer un laboratoire de système et réseaux géré par les étudiants. Évalué à 1.
Très bonne idée FedeRez, j'avais oublié l'existence de cette association. Merci.
[^] # Re: Quelques outils...
Posté par Julien CARTIGNY (site web personnel) . En réponse au journal Développer un laboratoire de système et réseaux géré par les étudiants. Évalué à 4.
Je sais mais je parle de vrai installation que l'on peut maintenir et faire évoluer afin de voir le problème des architectures de sécurité, le déploiement d'outils comme des IDS/IPS, la mise en place de honeypot sur une adresse publique, etc. Cela ne s'apprend pas dans un ou plusieurs TP mais par l'expérience acquise au fur et à mesure…
[^] # Re: Une asso, un local, une connexion ADSL autonome
Posté par Julien CARTIGNY (site web personnel) . En réponse au journal Développer un laboratoire de système et réseaux géré par les étudiants. Évalué à 1.
Asso et local ça devrait se faire. Par contre la connexion ADSL autonome risque d'être rejetée car sur le local est sur le site universitaire (sans compter le fait que le téléphone déployé c'est de la VoIP Cisco). De plus l'idéal serait d'avoir accès au connection RENATER de l'université, mais sans entraîner d'ennuis techniques ou potentiellement légaux pour les personnes en charge du réseau.
[^] # Re: Marionnet
Posté par Julien CARTIGNY (site web personnel) . En réponse au journal Développer un laboratoire de système et réseaux géré par les étudiants. Évalué à 2.
Pas exactement ce que je recherche. Il existe beaucoup de solution pour les travaux pratiques (netkit, marionnet, packet tracer, …). Je suis plus à rechercher une installation pereine avec de machines (physiques) qu'ils controlleraient au fur et à mesure de l'année.
# Nom des prochaines versions ?
Posté par Julien CARTIGNY (site web personnel) . En réponse à la dépêche Firefox 26. Évalué à 4.
J'attends avec une certaines impatience les prochaines versions, particulièrement celles avec des nombres impairs pour savoir si un nom leur ait attribué voire s'il existe réellement un mot pour les définir.
# En tant qu'enseignant...
Posté par Julien CARTIGNY (site web personnel) . En réponse à la dépêche Décès de Cédric Blancher, chercheur en sécurité informatique. Évalué à 8.
Cédric était intervenu quelques années de suite dans le Master 2 CRYPTIS de l'université de Limoges. Je débarquais alors comme jeune maître de conférences avec comme bagage en sécurité informatique de savoir au mieux configurer un iptables et de croire que ça pouvait protéger le monde entier.
Pédagogue, je regarde encore ses slides simples sur lequel il pouvait discuter des heures. Je me souviens aussi des démos faites aux étudiants, particulièrement d'une où à partir d'un wifi mal sécurisé il avait rebooté quelques serveurs CITRIX mal protégé devant les yeux ébahis des étudiants.
Une crème en tant que personne, patient et prenant son temps pour expliquer si tu n'avais pas compris.
Après 8 ans à Limoges et bien d'autres intervenants de qualité de son équipe et d'autres, j'essaye aujourd'hui de transmettre cette passion à pas mal d'étudiants, du plaisir de bidouiller un système et d'étudier la sécurité de façon ludique et réaliste. je lui dois un peu de cette motivation et de son expérience. Je ne crois pas cacher que cela doit être aussi le cas de quelques ex-étudiants du Master.
# Security Onion
Posté par Julien CARTIGNY (site web personnel) . En réponse à la dépêche Z-Eye, gestion réseau et monitoring unifié. Évalué à 1.
Je n'ai pas pu essayer security onion qui demande une machine 64 bits mais ton application semble assez proche dans l'idée, peux tu positionner ton projet vis-à-vis de Security Onion ?
# Retours sur ce type d'application
Posté par Julien CARTIGNY (site web personnel) . En réponse à la dépêche InDefero, Wiki et support de Mercurial dans la version 0.4.0. Évalué à 2.
# Précision
Posté par Julien CARTIGNY (site web personnel) . En réponse au journal Instalaltion remote/automatic d'un parc de machines. Évalué à 1.